DE602004012300T2 - Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff - Google Patents

Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff Download PDF

Info

Publication number
DE602004012300T2
DE602004012300T2 DE602004012300T DE602004012300T DE602004012300T2 DE 602004012300 T2 DE602004012300 T2 DE 602004012300T2 DE 602004012300 T DE602004012300 T DE 602004012300T DE 602004012300 T DE602004012300 T DE 602004012300T DE 602004012300 T2 DE602004012300 T2 DE 602004012300T2
Authority
DE
Germany
Prior art keywords
networked resource
registration
networked
user
resource
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004012300T
Other languages
English (en)
Other versions
DE602004012300D1 (de
Inventor
Anatoliy Bellevue PANASYUK
Abolfazl Redmond SIRJANI
Ben Sammamish WALTERS
Michael Redmond BURR
Min-Chih Lu Redmond EARL
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Citrix Systems Inc
Original Assignee
Citrix Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Citrix Systems Inc filed Critical Citrix Systems Inc
Publication of DE602004012300D1 publication Critical patent/DE602004012300D1/de
Application granted granted Critical
Publication of DE602004012300T2 publication Critical patent/DE602004012300T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2111Location-sensitive, e.g. geographical location, GPS

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Bioethics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Catching Or Destruction (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)
  • Motorcycle And Bicycle Frame (AREA)

Description

  • Verwandte Anmeldungen
  • Diese Anmeldung beansprucht den Nutzen der US Patentanmeldung mit der Eingangsnr. 10/683,544, eingereicht am 10. Oktober 2003.
  • Technisches Gebiet
  • Die vorliegende Erfindung bezieht sich im Allgemeinen auf die Vernetzung von Computern und insbesondere auf ein sicheres Verfahren zum Gewähren von Fernzugriff auf Computerdesktops.
  • Hintergrund
  • Viele Firmencomputerbenutzer sind für ihren Datenverarbeitungsbedarf regelmäßig auf die Anwendungen und Dateien, die auf der Festplatte ihres Personal-Computers im Büro gespeichert sind, angewiesen. Dem Großteil dieser Computer mangelt es jedoch an Tragbarkeit oder, falls tragbar, können sie keinen geeigneten Zugriff auf Ressourcen, die ihren Personal-Computern im Büro zur Verfügung stehen, bereitstellen. Die internationale Patentveröffentlichung Nr. WO02/21 414 offenbart ein Registrierungssystem zum Gewähren des Fernzugriffs auf eine vernetzte Ressource.
  • Um Computerbenutzern von entfernten Vorrichtungen wie etwa ihren Heimcomputern oder Laptops den Zugriff auf die Ressourcen ihrer Personal-Computer im Büro bereitzustellen, haben Programmierer verschiedene Technologien zum entfernten Zugreifen von einer zweiten, entfernten Vorrichtung, Client genannt, auf die Ressourcen eines Computers, Host genannt, entwickelt. Unter Verwendung derartiger Technologien zeigt die Client-Anzeige eines entfernten Benutzers, was auf der Anzeige des Host-Computers zu sehen sein könnte, würde der Benutzer die Host-Anzeige physikalisch sehen. Zudem ermöglicht Fernzugriffssoftware entfernten Benutzern, mit den Eingabevorrichtungen des Clients, wie etwa einer Tastatur oder einer Maus, mit dem Host-Computer zu interagieren, als würde der Benutzer die Eingabevorrichtung des Hosts verwenden. Jede Berechnung, die durch die Eingabe des Benutzers initiiert wird, wird von dem Host-Computer durchgeführt, und die Ergebnisse werden auf der Client-Anzeige angezeigt, als wäre sie die Host-Anzeige.
  • Während diese Technologien in beschränktem Umfang erfolgreich und nützlich sind, können sie bei Unternehmenssystemen in großem Umfang Verwaltungslasten darstellen. Großunternehmenssysteme erfordern sicheren, regulierten Zugriff für eine große Anzahl an Benutzern auf eine große Anzahl an vernetzten Ressourcen. Manche Systeme ermöglichen die Festlegung von umfassenden Zugriffsregeln, die für Gruppen von Benutzern oder Ressourcen gelten, setzen jedoch typischerweise keine Zugriffsbeschränkungen für eine beliebige Einzelperson oder Einzelressource. Manche Systeme weisen einzelne, erlaubnisbasierte Verfahren auf, die typischerweise einen Systemverwalter erfordern, um Zugriffsbeschränkungen für jeden Benutzer und jede Ressource festzulegen. Die ersten Verfahren stellen oft unzureichende Sicherheit bereit, da die Zugriffsregeln tendenziell allzu umfassend sind, und das letzte Verfahren erfordert üblicherweise einen ungewöhnlich hohen Grad an Verwaltungsgemeinkosten in großen Systemen.
  • Zusammenfassung der Erfindung
  • Ein Ziel der Erfindung ist es, skalierbare, sichere und leicht verwaltbare Verfahren und Systeme zum Bereitstellen des Fernzugriffs auf vernetzte Ressourcen bereitzustellen, indem Aspekte von Maßnahmen zur Beschränkung des physikalischen Zugriffs mit Maßnahmen zur Beschränkung des traditionellen Computerzugriffs kombiniert werden.
  • In einem Aspekt bezieht sich die Erfindung auf ein Verfahren zum Verwalten eines Computernetzwerks. Das Verfahren umfasst das Bereitstellen eines Registrierungsverwaltungssystems zum Festlegen von Registrierungsregeln und ein Registrierungssystem, das konfiguriert ist, um mit dem Registrierungsverwaltungssystem Informationen auszutauschen, um, falls durch die festgelegten Registrierungsregeln erlaubt, das Registrieren einer ersten vernetzten Ressource zu erlauben. Das Verfahren umfasst auch das Bereitstellen eines Fernzugriffssystems, um einem Benutzer den Fernzugriff auf die erste vernetzte Ressource zu gewähren, falls der Benutzer die erste vernetzte Ressource erfolgreich registriert hat. Bei einer Ausführungsform ist die vernetzte Ressource ein Computer.
  • Bei einer Ausführungsform ist das Fernzugriffssystem zur Installation auf der ersten vernetzten Ressource bereitgestellt. Bei einer weiteren Ausführungsform ist das Fernzugriffssystem zur Installation auf einer gemeinsam genutzten Netzwerkressource bereitgestellt. Bei dieser Ausführungsform gewährt das Fernzugriffssystem abhängig von den festgelegten Registrierungsregeln und der Registrierung der ersten und der zweiten vernetzten Ressource durch den Benutzer den Fernzugriff auf die erste vernetzte Ressource und eine zweite vernetzte Ressource. Bei einer weiteren Ausführungsform verweigert das Fernzugriffssystem einem Benutzer, der die erste vernetzte Ressource nicht registriert hat, den Fernzugriff. Bei einer weiteren Ausführungsform umfasst der Fernzugriff den Fernzugriff auf den Desktop der ersten vernetzten Ressource.
  • Bei einer weiteren Ausführungsform erlaubt das Registrierungssystem das Registrieren der ersten Netzwerkressource von einer entfernten Konsole nicht. Bei einer weiteren Ausführungsform erfordert das Registrierungssystem das Registrieren der ersten vernetzten Ressource von einer Konsole, die physikalisch an der ersten vernetzten Ressource angeschlossen ist. Bei noch einer weiteren Ausführungsform ist das Registrierungssystem eine Netzwerkanwendung. Bei einer Ausführungsform umfasst das Verfahren ferner das Bereitstellen eines Lokalisierersystems zum Bestimmen des Standorts eines Benutzers, welcher versucht, die erste vernetzte Ressource zu registrieren. Bei einer weiteren Ausführungsform ist das Registrieren der ersten vernetzten Ressource ferner von dem bestimmten Standort abhängig.
  • In einem weiteren Aspekt bezieht sich die Erfindung auf ein Computersystem, das ein Registrierungsverwaltungssystem zum Festlegen von Registrierungsregeln umfasst. Das Computersystem umfasst auch eine erste vernetzte Ressource, die konfiguriert ist, um mit dem Registrierungsverwaltungssystem Informationen auszutauschen, und eine entfernte Vorrichtung, die konfiguriert ist, um über einen Übertragungskanal wie etwa ein Netzwerk Informationen mit der ersten vernetzten Ressource auszutauschen. Zusätzlich dazu umfasst das Computersystem ferner ein Registrierungssystem zum Registrieren der ersten vernetzten Ressource, falls durch die festgelegten Registrierungsregeln erlaubt, und ein Fernzugriffssystem, um einem Benutzer der entfernten Vorrichtung den Fernzugriff auf die erste vernetzte Ressource zu gewähren, falls die erste vernetzte Ressource erfolgreich registriert wurde. Bei einer Ausführungsform umfasst das Computersystem auch eine Registrierungsdatenbank, die eine Liste der vernetzten Ressourcen, die ein Benutzer registriert hat, speichert.
  • In noch einem weiteren Aspekt bezieht sich die Erfindung auf ein Verfahren zur Netzwerkverwaltung, welches das Festlegen einer Registrierungsregel und das Registrieren einer ersten vernetzten Ressource, falls durch die festgelegte Registrierungsregel erlaubt, umfasst. Das Verfahren umfasst auch, dass einem Benutzer der Fernzugriff von einer entfernten Vorrichtung auf die erste vernetzte Ressource gewährt wird, falls der Benutzer zuvor die erste vernetzte Ressource erfolgreich registriert hat, und andernfalls, dass einem Benutzer der Zugriff von der entfernten Vorrichtung auf die erste vernetzte Ressource verweigert wird. Bei einer Ausführungsform umfasst das Festlegen einer Registrierungsregel das Definieren einer Vielzahl von Gruppen von Benutzern, das Definieren einer Vielzahl von Gruppen von vernetzten Ressourcen und das Festlegen einer Gruppe von vernetzen Ressourcen, die eine Gruppe von Benutzern registrieren darf.
  • Kurze Beschreibung der Zeichnungen
  • Die vorangehende Diskussion wird aus der folgenden detaillierten Beschreibung der Erfindung zusammen mit den beiliegenden Zeichnungen leichter verständlich sein:
  • 1 ist eine schematische Darstellung eines Ferndesktopzugriffs gemäß einer veranschaulichenden Ausführungsform der Erfindung.
  • 2 ist ein schematisches Diagramm, das ein Computernetzwerk gemäß einer veranschaulichenden Ausführungsform der Erfindung darstellt.
  • 3A ist ein Diagramm einer Reihe von Computernetzwerkressourcengruppierungen gemäß einer veranschaulichenden Ausführungsform der Erfindung.
  • 3B ist ein Diagramm einer Reihe von Computernetzwerkbenutzergruppierungen gemäß einer veranschaulichenden Ausführungsform der Erfindung.
  • 4 ist eine Tabelle, die Beispielregistrierungsregeln gemäß einer veranschaulichenden Ausführungsform der Erfindung darstellt.
  • 5 ist ein Ablaufplan eines Verfahrens zum Registrieren einer vernetzten Ressource gemäß einer veranschaulichenden Ausführungsform der Erfindung.
  • 6 ist eine Registrierungsdatenbank, die eine Beispielreihe von Registrierungen gemäß einer veranschaulichenden Ausführungsform der Erfindung darstellt; und
  • 7 ist ein Ablaufplan eines Verfahrens zum Gewähren des Fernzugriffs auf einen Computer gemäß einer veranschaulichenden Ausführungsform der Erfindung.
  • DETAILLIERTE BESCHREIBUNG
  • In der physikalischen Welt werden Ressourcen durch das Implementieren von Beschränkungen des physikalischen Zugriffs geschützt. Aktenschränke werden verschlossen, Tresore werden plombiert und Bürotüren werden geschlossen. In allen diesen Fällen reicht es nicht aus, lediglich den Schlüssel zu haben, um auf die Ressourcen innerhalb des Schranks, des Tresors oder des Büros zuzugreifen. Man muss sowohl den Schlüssel haben und gleichzeitig physikalisch bei dem Schrank, dem Tresor oder in dem Büro präsent sein. Bei einem traditionellen, vernetzten Computerumfeld haben sich Verbesserungen bei Zugriffseinschränkungen jedoch auf das Kreieren komplexerer Schlösser und Schlüssel konzentriert (z. B. Benutzerpasswort/PIN-Systeme, biometrische Identitätsverifizierung, Stimmenverifizierung etc.) und haben den Nutzen an Sicherheit, die Beschränkungen des physikalischen Zugriffs bereitstellen können, weitgehend ignoriert. Das heißt, dass bei vielen Computersystemen, falls ein Benutzer den passenden „Schlüssel" besitzt, dieser Benutzer auf eine vernetzte Ressource zugreifen kann, ohne dass er jemals physikalisch in der Nähe der Ressource sein muss. Ein Ziel der vorliegenden Erfindung ist es, skalierbare, sichere und leicht verwaltbare Verfahren und Systeme zum Bereitstellen des Fernzugriffs auf vernetzte Ressourcen bereitzustellen, indem Aspekte der Maßnahmen zur Beschränkung des physikalischen Zugriffs mit Maßnahmen zur Beschränkung des traditionellen Computerzugriffs kombiniert werden. Eine derartige Kombination kombiniert die Vorteile niedriger Gemeinkosten der regelbasierten Zugriffsbeschränkungen mit den individualisierten Sicherheitsvorteilen von individuellen erlaubnisbasierten Zugriffsbeschränkungen, ohne die damit verbundenen zusätzlichen Verwaltungskosten einzugehen.
  • Unter Bezugnahme auf 1 befindet sich eine erste vernetzte Ressource 100 physikalisch an einem bestimmten Standort, zum Beispiel in einem Büro. Vernetzte Ressourcen können zum Beispiel folgende umfassen: Desktopcomputer, Arbeitsplatzrechner, Laptops, Taschencomputer, Mobiltelefone, Slate-PCs, Datenverarbeitungsvorrichtungen, die netzwerkfähig sind, Drucker, Speichervorrichtungen, Peripheriegeräte etc. und beliebige Daten, Anwendungen oder Möglichkeiten, die auf oder von den Ressourcen erhältlich sind. Die erste vernetzte Ressource 100 kann über ein Netzwerk 106 Zugriff auf andere vernetzte Ressourcen 104 haben. Eine entfernte Vorrichtung 102 tauscht über einen Übertragungskanal 108 wie etwa ein Computernetzwerk Informationen mit der ersten vernetzten Ressource 100 aus. Die entfernte Vorrichtung 102 kann ein Computer wie etwa ein Arbeitsplatzrechner, ein Desktopcomputer, ein Laptop, ein Taschencomputer oder eine beliebige andere Form von Datenverarbeitungs- oder Telekommunikationsvorrichtung sein, die zur Übertragung fähig ist, und die ausreichend Prozessorleistung und Speicherkapazität aufweist, um die hier beschriebenen Operationen auszuführen (z. B. ein Mobiltelefon oder ein Slate-PC). Der Übertragungskanal 108 kann mit einer beliebigen von einer Vielfalt von geeigneten Technologien implementiert werden, zum Beispiel über Standardtelefonleitungen, LAN- oder WAN-Verbindungen (unter Verwendung von z. B. 802.11-, T1-, T3-, 56-kB- oder X.25-Protokollen), Breitbandverbindungen (unter Verwendung von z. B. ISDN-, Frame-Relay- oder ATM-Protokollen) und Drahtlosverbindungen oder manche Kombinationen aus beliebigen oder allen der oben Genannten.
  • Bei einer veranschaulichenden Ausführungsform der Erfindung ist die erste vernetzte Ressource 100 ein Computer, der als ein Host dient, und die entfernte Vorrichtung 102 dient als ein Client. Einem Benutzer der entfernten Vorrichtung 102 wird der Zugriff auf die erste vernetzte Ressource 100 gewährt, so dass der Benutzer Zugriff auf den Desktop der ersten vernetzten Ressource 100 hat. Das heißt, anstatt lediglich Zugriff auf die Dienste der ersten vernetzten Ressource 100 zu haben, zeigt die Anzeige der entfernten Vorrichtung 102, was ein Benutzer auf dem Konsolenmonitor der ersten vernetzten Ressource 100 sehen könnte. Ebenso kann der Benutzer der ersten vernetzten Ressource 100 von der entfernten Vorrichtung 102 eine Eingabe (z. B. Tastatur- und Mauseingabe) bereitstellen, die von der ersten vernetzten Ressource 100 interpretiert wird, als wäre eine derartige Eingabe von einer Konsole vorgenommen worden, die an der ersten vernetzten Ressource physikalisch angeschlossen ist.
  • Bei einer derartigen Ausführungsform wird der Fernzugriff erreicht, indem MetaFrame Presentation Server®, hergestellt von Citrix Systems, Inc. aus Ft. Lauderdale, Florida, auf der ersten vernetzen Ressource 100 zusammen mit der Verwendung von Independent-Computing-Architecture®-Clients (ICA-Clients) von Citrix auf der entfernten Vorrichtung 102 verwendet wird.
  • Bei einer alternativen Ausführungsform wird der Fernzugriff durch Remote-Desktop-Software bereitgestellt. Remote Desktop ist ein Merkmal, das in dem Betriebssystem Windows XP® Professional, hergestellt von Microsoft Corporation aus Redmond, Washington, umfasst ist, das einem Host-Computer wie etwa der ersten vernetzten Ressource 100 ermöglicht, Clients wie etwa der entfernten Vorrichtung 102, welche die Remote-Desktop-Client-Software installiert haben, Zugriff auf den Desktop dieses Hosts bereitzustellen. Remote-Desktop-Client-Software ist in dem Betriebssystem Windows XP® umfasst und ist für Computer erhältlich, welche mit den Betriebssystemen Windows 95®, Windows 98®, Windows Me®, Windows NT® 4.0 oder Windows 2000® laufen. Remote Desktop verwendet das Remote Desktop Protocol, auch als RDP bekannt, um Informationen zwischen dem Host und dem Client auszutauschen.
  • Es versteht sich, dass Ausführungsformen der Erfindung unter Verwendung anderer geeigneter Software- und Übertragungsprotokolle implementiert werden können. Zum Beispiel könnte der Host einen Webserver betreiben, bei dem sich ein Client unter Verwendung von Standardinternetprotokollen wie etwa HTTP anmelden könnte. Andere Systeme für den Ferndesktopzugriff umfassen pcAnywhere®, hergestellt von Symantec Corporation aus Cupertino, Kalifornien.
  • Zusätzlich zum Gewähren des Ferndesktopzugriffs oder anstelle des Gewährens des Ferndesktopzugriffs stellen andere Ausführungsformen der Erfindung einen beschränkteren Fernzugriff auf die vernetzten Ressourcen bereit. Zum Beispiel stellt bei einer Ausführungsform die Erfindung den Fernzugriff auf auf einem Computer gespeicherte Dateien bereit. Bei einer weiteren Ausführungsform stellt die Erfindung den Fernzugriff auf Anwendungen, die auf einer Ressource gespeichert sind, jedoch nicht auf beliebige Datendateien, die darauf gespeichert sind, bereit. Bei einer weiteren Ausführungsform stellt die Erfindung den Fernzugriff auf einen Drucker, eine Anzeige oder eine andere Ausgabevorrichtung bereit.
  • Bei einer weiteren Ausführungsform stellt die Erfindung lediglich einen beschränkten Ferndesktopzugriff bereit. Zum Beispiel könnte ein Benutzer in der Lage sein, auf Dateien, die physikalisch auf dem Computer, auf dessen Desktop er zugreift, gespeichert sind, zuzugreifen, jedoch ist der Zugriff auf andere vernetzte Ressource wie etwa den Dateiserver über einen Desktop beschränkt.
  • Nun mit Bezug auf 2 umfasst ein veranschaulichendes Computersystem 200 eine Anzahl an vernetzten Ressourcen, die in der Figur als beispielhafte Computer TermA 202, TermB 204, TermC 206, CADA 208, CADB 210, CADC 212, VerwA 214, VerwB 216, VerwC 218 gezeigt sind und gemeinsam als „die Computer" bezeichnet werden. Die Computer 202, 204, 206, 208, 210, 212, 214, 216 und 218 können geographisch nah oder verteilt sein. Zum Beispiel können sich manche oder alle Computer in dem Computersystem 200 an einem anderen Standort als andere Computer in dem Computersystem befinden. Zum Beispiel könnte Term 202 von TermB 204 und den anderen Computern 206, 208, 210, 212, 214, 216 und 218 entfernt sein.
  • Wie in der Figur dargestellt, befinden sich jedoch die Computer TermA 202, TermB 204, CADC 212 und VerwC 218 in einem ersten Gebäude 220, und die Computer TermC 206, CADA 208, CADB 210, VerwA 214 und VerwB 216 befinden sich in einem zweiten Gebäude 222. Die Computer 202, 204, 206, 208, 210, 212, 214, 216 und 218 sind über ein Unternehmensklassenetzwerk 224 miteinander verbunden. Das Computersystem 200 stellt auch den Zugriff für eine entfernte Vorrichtung 201 bereit, um mit dem Netzwerk 224 verbunden zu werden, um auf einen der Computer 202, 204, 206, 208, 210, 212, 214, 216 und 218 und die vernetzten Ressourcen zuzugreifen. Die entfernte Vorrichtung 201 kann ein Teil des Computersystems 200 oder außerhalb davon sein und wird über einen Übertragungskanal 203 mit dem Computersystem 200 verbunden.
  • Das Computernetzwerk 200 umfasst ein Zugriffsverwaltungssystem 226. Im Allgemeinen ist das Zugriffsverwaltungssystem 226 eine logische Gruppierung von verschiedenen verwandten Systemen, die verwendet werden, um die Fähigkeiten der Benutzer, auf die vernetzten Ressourcen zuzugreifen und sie zu benutzen, zu bestimmen und zu regeln. Jedes System kann sich auf einem Computer in dem ersten oder dem zweiten Gebäude 220 und 222, auf einem Computer, der sich in einem dritten Gebäude (nicht gezeigt) befindet, auf jedem der zuvor beschriebenen Computern 202, 204, 206, 208, 210, 212, 214, 216 und 218 befinden und/oder darauf ausgeführt werden oder auf einem beliebigen oder allen der obigen Computern verteilt sein.
  • Das Zugriffsverwaltungssystem 226 umfasst ein Registrierungsverwaltungssystem 228 zum Festlegen der Registrierungsregeln. Bei einer Ausführungsform ist das Registrierungsverwaltungssystem 228 ein Softwaremodul oder -programm, das Systemverwaltern zur Verfügung gestellt wird, um derartige Regeln festzulegen, obwohl andere Implementierungen möglich sind. Registrierungsregeln legen fest, welchen Benutzern oder Gruppen von Benutzern erlaubt ist, einzelne oder Gruppen von vernetzten Ressourcen zu registrieren, wobei die Registrierung der Vorgang des Erhaltens der Berechtigung ist, später von einer entfernten Vorrichtung 102 auf eine Netzwerkressource zuzugreifen. Ein Systemverwalter legt eine Registrierungsregel fest, indem er Gruppen von einem oder mehreren Benutzern definiert, Gruppen von vernetzten Ressourcen definiert und dann festlegt, welcher Gruppe oder welchen Gruppen von Benutzern erlaubt ist, welche Gruppe oder Gruppen von vernetzten Ressourcen zu registrieren.
  • Um das Definieren von Gruppen und das Festlegen von Regeln zu vereinfachen, stellt das Registrierungsverwaltungssystem 228 bei einer Ausführungsform eine grafische Benutzerschnittstelle bereit, die es dem Systemverwalter ermöglicht, Benutzer und Ressourcen in Gruppen zu ziehen und Gruppen in Registrierungsregeln zu ziehen. Bei einer weiteren Ausführungsform stellt die grafische Benutzerschnittstelle eine Zeigen-und-Klicken-Schnittstelle bereit, die es einem Systemverwalter ermöglicht, Gruppen und Regeln aus Listen der Benutzer, Ressourcen und Gruppen zu bauen. Bei noch weiteren Ausführungsformen baut ein Systemverwalter eine Gruppe durch das Eintippen einer Liste der Benutzer- oder Ressourcenidentifizierungen (z. B. Namen, Benutzernamen, E-Mail-Adressen, Mitarbeiteranzahlen, IP-Adressen, Ressourcennamen etc.). Egal welche Schnittstelle verwendet wird, die Schnittstelle lässt auch zu, dass Benutzer oder Ressourcen aus Gruppen entfernt werden oder in andere Gruppen verschoben werden und dass Regeln abgeändert werden.
  • Bei einer weiteren Ausführungsform kann der Verwalter zuvor definierte Gruppierungen benutzen. Große Organisationen weisen oft für andere Datenverarbeitungszwecke definierte Benutzer- und Ressourcengruppierungen auf. Derartige Gruppen werden zum Beispiel unter Verwendung verschiedener Domänen, eines aktuellen Dateiverzeichnisses oder von Lightweight-Directory-Access-Protocol-Verzeichnissen (LDAP-Verzeichnissen) definiert. Ressourcengruppen können auch durch das Bereitstellen von IP-Adressenbereichen definiert werden.
  • Bei einer Ausführungsform unterscheiden sich die Registrierungsregeln von anderen Zugriffsregeln. Zum Beispiel kann ein Systemverwalter Registrierungsregeln festlegen, die es einer Gruppe von Benutzern erlauben, eine Gruppe von vernetzten Ressourcen, zu deren direkter Verwendung die Benutzer andernfalls nicht berechtigt wären, für den Fernzugriff zu registrieren. Ebenso kann es sein, dass eine Gruppe von Benutzern, die berechtigt sein kann, direkt auf eine Gruppe von vernetzten Ressourcen zuzugreifen, nicht berechtigt ist, diese vernetzten Ressourcen für den Fernzugriff zu registrieren, falls keine derartige Registrierungsregel festgelegt worden ist. Bei einer Ausführungsform speichert das Registrierungsverwaltungssystem die Registrierungsregeln in einer Registrierungsregeldatenbank. Bei einer weiteren Ausführungsform umfasst das Registrierungsverwaltungssystem 228 auch eine Registrierungsdatenbank, die jede vernetzte Ressource, die jeder Benutzer registriert hat, identifiziert.
  • Das Zugriffsverwaltungssystem 226 umfasst ein Registrierungssystems 230, das konfiguriert ist, um mit dem Registrierungsverwaltungssystem 228 Informationen auszutauschen, um, falls durch die festgelegten Registrierungsregeln erlaubt, das Registrieren einer ersten vernetzten Ressource zu erlauben. Bei einer Ausführungsform ist das Registrierungssystem 230 eine Netzwerkanwendung, insbesondere eine JAVA®-Anwendung, die auf einem zentralen Server gespeichert ist und als Antwort auf eine Anfrage eines Benutzers, eine vernetzte Ressource zu registrieren, auf eine vernetzte Ressource heruntergeladen wird. Die Registrierungsanfrage kann zum Beispiel durch das Klicken auf ein Icon auf dem Desktop der vernetzten Ressource, das Klicken auf einen Hyperlink auf einer Webseite oder das Erfragen von einem Menü, den Computer zu registrieren, initiiert werden.
  • Bei alternativen Ausführungsformen wird das Registrierungssystem 230 auf einem vernetzten Server betrieben, und der Benutzer tauscht durch eine gemeinsame Gateway-Schnittstelle (CGI) über einen Internet-Browser unter Verwendung von HTTP, HTML, XML oder einem anderen bekannten Netzwerkprotokoll Informationen mit dem Registrierungssystem 230 aus. Bei noch einer weiteren Ausführungsform wird das Registrierungssystem 230 auf einer vernetzten Ressource installiert, indem der Software-Code, welcher das Registrierungssystem 230 verkörpert, von einem elektronischen Datenträger (z. B. einer Diskette, ZIP-Diskette, CD-ROM, DVD-ROM etc.) auf die vernetzte Ressource übertragen wird.
  • Das Registrierungssystem 230 stellt einem Benutzer, der eine Registrierung erfragt, eine Schnittstelle bereit, um sich selbst und die Ressource, deren Registrierung der Benutzer erfragt, zu identifizieren. Das Registrierungssystem 230 tauscht mit dem Registrierungsverwaltungssystem 228 Informationen aus, um zu bestimmen, ob es einem Benutzer in der Tat erlaubt ist, diese Ressource zu registrieren. Bei einer Ausführungsform umfasst die Übertragung das Schicken einer Nachricht an das Registrierungssystem 228, welche die Kennung des Benutzers, der die Registrierung der vernetzten Ressource erfragt, und die Kennung der vernetzten Ressource, deren Registrierung der Benutzer erfragt, enthält. Bei einer Ausführungsform umfasst die Übertragung das Senden einer Datenbankabfrage zum Beispiel unter Verwendung von SQL (Structured Query Language) an das Registrierungsverwaltungssystem 228. Bei einer weiteren Ausführungsform umfasst die Übertragung, dass ein RPC (Remote Procedure Cell) auf dem Registrierungsverwaltungssystem 228 getätigt wird, wobei das Ergebnis davon ein boolescher Wert ist, der andeutet, ob es dem Benutzer erlaubt ist, die Ressource zu registrieren. Bei einer weiteren Ausführungsform umfasst die Übertragung das Senden eines Prozesslogikbefehls, der von dem Registrierungsverwaltungssystem 228 interpretiert wird.
  • Bei noch einer weiteren Ausführungsform sendet das Registrierungsverwaltungssystem 228 eine aktuelle Registrierungsregeldatenbank an das Registrierungssystem 230. Bei dieser Ausführungsform fragt nach dem Erhalten der aktuellen Registrierungsregeldatenbank das Registrierungssystem 230 die Registrierungsregeldatenbank ab (z. B. unter Verwendung von SQL), um zu bestimmen, ob es dem Benutzer erlaubt ist, die Datenbank zu registrieren. Die Übertragungen können über eine Vielfalt an verdrahteten Verbindungen (z. B. unter Verwendung von TCP/IP-, ISDN-, Frame-Relay- oder ATM-Protokollen) und drahtlosen Verbindungen oder irgendeine Kombination aus beliebigen oder allen der oben Genannten stattfinden.
  • Bei einer Ausführungsform ist das Registrierungssystem 230 auch für das Verifizieren der Identität des Benutzers verantwortlich. Die Benutzeridentitätsverifizierung kann vorgenommen werden, indem zum Beispiel für jeden Benutzer eine Kombination aus einem Namenspasswort/einer PIN gesammelt wird, die biometrischen Daten eines Benutzers gesammelt werden, ein Muster der Stimme des Benutzers gesammelt wird etc.
  • Das Zugriffsverwaltungssystem 226 umfasst auch ein Fernzugriffssystem 232, um den Fernzugriff auf die erste vernetzte Ressource zu gewähren, falls der Benutzer die erste vernetzte Ressource erfolgreich registriert hat. Bei einer Ausführungsform steuert das Zugriffsverwaltungssystem 226 zusätzlich zu dem Steuern des Fernzugriffs auf einzelne oder Gruppen von vernetzten Ressourcen den allgemeinen Zugriff auf das Netzwerk (d. h. nicht auf eine bestimmte Ressource). Bei einer Ausführungsform ist das Fernzugriffssystem 232 ein Softwaremodul, das auf einem zentralen Netzwerkserver betrieben wird. Falls ein Benutzer versucht, entfernt auf eine vernetzte Ressource zuzugreifen, kontaktiert der Benutzer zuerst das Fernzugriffssystem 232 auf dem zentralen Server. Bei einer weiteren Ausführungsform hat jede registrierbare Netzwerkressource eine Kopie des Fernzugriffssystems 232 installiert, oder die vernetzte Ressource kann nach dem Erhalt einer Fernzugriffsanfrage eine Kopie des Registrierungssystems 230 von einem Server herunterladen.
  • Bei einer Ausführungsform erhält das Fernzugriffssystem 232 die Anfrage auf Fernzugriff, verifiziert die Identität des Benutzers, welcher den Zugriff erfragt, und bestimmt durch das Konsultieren einer Registrierungsdatenbank, die von dem Registrierungsverwaltungssystem 228 unterhalten wird, ob der Benutzer die vernetzte Ressource, auf die der Benutzer den Fernzugriff erfragt, registriert hat. Falls der Benutzer die vernetzte Ressource registriert hat, gewährt das Fernzugriffssystem 232 dem Benutzer die Erlaubnis, auf die vernetzte Ressource zuzugreifen, und ein derartiger Zugriff wird initiiert.
  • Bei den oben beschriebenen Ausführungsformen werden die Systeme 226, 228, 230 und 232 als Softwaremodule oder -programme implementiert. Der Fachmann sollte erkennen, dass ein Teil der Systemfunktionalität oder die gesamte Systemfunktionalität stattdessen auf eine Art und Weise implementiert werden kann, die anders als die eben beschriebene ist, zum Beispiel in Hardware wie etwa anwendungsspezifische integrierte Schaltung (ASIC) und dergleichen.
  • Der Betrieb der Systeme des Zugriffsverwaltungssystems 226 kann mit Bezug auf 37 weiter verstanden werden.
  • Mit Bezug auf 3A und 3B können Systemverwalter, um die Last auf die Systemverwalter zu mildern, das Zugriffsverwaltungssystem 226 oder eines seiner Teilsysteme verwenden, um Benutzer und Ressourcen in Gruppen, die gemeinsame Charakteristika teilen, zu vereinigen, da, wenn die Anzahl an Netzwerkressourcen und Benutzern eines Computersystems 200 steigt, es zunehmend zeitaufwendig ist, jedem Benutzer einzeln Zugriffsrechte zu vergeben. Mit Bezug auf 3A kann eine veranschaulichende Reihe 300 von Netzwerkressourcen des Computersystems 200 in Arbeitsplatzrechner 302, die TermA 202, TermB 204 und TermC 206 umfassen, CAD-Terminals 304, die CADA 214, CADB 216 und CADC 218 umfassen, und Verwaltungsassistententerminals VerwA 208, VerwB 210 und VerwC 212 gruppiert werden. Mit Bezug auf 3B kann eine veranschaulichende Reihe 307 von Computerbenutzern wie folgt gruppiert werden: Tara 314, Tom 316 und Ted 318 können als Mitglieder der Informatikmitarbeiter 308 (IT-Mitarbeiter) gruppiert werden; Ellie 320, Erica 322 und Edward 324 können als Ingenieure 310 gruppiert werden und Alex 326, Amy 328 und Andrew 330 können als Verwaltungsassistenten 312 gruppiert werden.
  • Bei einer Ausführungsform kann ein Systemverwalter Gruppierungen von Benutzern und/oder Ressourcen unter Verwendung des Zugriffsverwaltungssystems 226 festlegen. Bei einer Ausführungsform stellt das Zugriffsverwaltungssystem 226 eine grafische Benutzerschnittstelle bereit, mit der ein Systemverwalter ziehen oder zeigen und klicken kann, um Benutzer oder Ressourcen zu Gruppen hinzuzufügen. Bei einer weiteren Ausführungsform stellt das Registrierungsverwaltungssystem 228 über eine ähnliche Schnittstelle auch Gruppenmanagementfunktionalität bereit. Die Gruppen, die für die Zwecke des Festlegens von Registrierungsregeln kreiert wurden, können sich von den Gruppen, die zum Festlegen anderer Zugriffsregeln kreiert wurden, unterscheiden.
  • Nachdem Gruppen von Benutzern und Ressourcen definiert sind, können Regeln festgelegt werden, um die Fähigkeit einer Gruppe von Benutzern 308, 310 oder 312, sowohl direkt als auch/oder entfernt auf eine Gruppe von Netzwerkressourcen 302, 304 und 306 zuzugreifen und diese zu verwenden, zu beschränken. Da zum Beispiel die Mitglieder 314, 316 und 318 der IT-Mitarbeiter 308 dafür verantwortlich sind, die Computer 202, 204, 206, 208, 210, 212, 214, 216 und 218 zu warten, ist es wahrscheinlich, dass ein Systemverwalter den IT-Mitarbeitern 308 Zugriff auf alle Computer 202, 204, 206, 208, 210, 212, 214, 216 und 218 geben möchte. Im Gegensatz dazu kann es sein, dass ein Systemverwalter die Verwaltungsassistenten 312 einschränken will, um lediglich auf die Verwaltungsassistententerminals mit weniger Fähigkeiten zugreifen zu können. Den Ingenieuren 310 kann der Zugriff auf die Arbeitsplatzrechner 302 und die CAD-Terminals 304, aber nicht auf die von den Verwaltungsassistenten 312 verwendeten Verwaltungsassistententerminals 306 gewährt werden.
  • Bei einer Ausführungsform kann ein Systemverwalter die Fähigkeit eines Benutzers, entfernt auf eine vernetzte Ressource zuzugreifen, einschränken, ohne Beschränkungen für einzelne Benutzer/Ressourcen festzulegen. Wie oben erwähnt, wird das Computersystem 200 unter der Annahme betrieben, dass ein Computerbenutzer lediglich in der Lage sein sollte, entfernt auf einen Computer zuzugreifen, auf den der Benutzer direkten physikalischen Zugriff erlangen kann. Falls ein Benutzer keinen physikalischen Zugriff auf eine vernetzte Ressource hat, sollte dieser Benutzer nicht in der Lage sein, durch das entfernte Zugreifen auf die vernetzte Ressource physikalische Sicherheitsmaßnahmen zu umgehen. Physikalischer Zugriff bedeutet hier der Zugriff auf eine Eingabevorrichtung (wie etwa eine Tastatur, Maus, Rollkugel, ein Mikrofon, Berührungsbildschirm, Joystick etc.), die mit einer Konsole verbunden ist, die physikalisch an der vernetzten Ressource angeschlossen ist. Die Verbindung kann in dem Fall, in dem die Eingabevorrichtungen unter Verwendung eines kurzreichweitigen, drahtlosen Signals (z. B. eine drahtlose Tastatur oder Maus) Informationen mit einer Ressource austauschen, drahtlose Übertragung umfassen. In einem einfachen Beispiel haben die Ingenieure 310 im Allgemeinen Zugriff auf die CAD-Terminals 304, jedoch lediglich in den Gebäuden, in denen sie arbeiten. Ingenieurin Ellie 320, die in dem zweiten Gebäude 222 arbeitet, hat keinen physikalischen Zugriff auf CADC 212, da sich CADC in dem ersten Gebäude 220 befindet. Ebenso haben andere Benutzer, falls Ellie ihren Arbeitsplatzrechner 302, TermA 402 aus Privat- oder Sicherheitsgründen in einem verschlossenen Büro hält, keinen physikalischen Zugriff auf diesen Arbeitsplatzrechner 302.
  • Um diese Erweiterung der Beschränkungen des physikalischen Zugriffs in das Fernzugriffsumfeld durchzusetzen, umfasst gemäß einer Ausführungsform der Erfindung das Computersystem 200 die oben beschriebene Registrierungsfunktionalität. Und zwar bekommt ein Benutzer keinen Fernzugriff auf eine vernetzte Ressource des Computersystems 200, falls der Benutzer nicht zuerst die vernetzte Ressource registriert hat. Vorzugsweise kann ein Benutzer lediglich dann eine vernetzte Ressource registrieren, falls der Benutzer die Registrierung unter Verwendung einer Eingabevorrichtung (z. B. Tastatur, Maus, Mikrofon, Anzeige etc.), die mit einer Konsole verbunden ist, die physikalisch an der vernetzten Ressource angeschlossen ist, erfragt. Somit ist, falls ein Benutzer nicht physikalisch auf eine derartige Eingabevorrichtung zugreifen kann, der Benutzer nicht in der Lage, die Netzwerkressource zu registrieren und ist nicht in der Lage, entfernt auf die vernetzte Ressource zuzugreifen.
  • Bei einer derartigen Ausführungsform kann es sein, dass nicht alle Benutzer, die direkten physikalischen Zugriff auf einen Computer haben, den Computer registrieren. Die Registrierungsregeln legen fest, welche Benutzer oder Gruppen von Benutzern berechtigt sind, welche vernetzten Ressourcen oder Gruppen von vernetzten Ressourcen zu registrieren. Vorzugsweise werden die Registrierungsregeln aus Effizienzgründen auf einer Benutzer/Ressourcengruppenebene und nicht auf einer Ebene einzelner Benutzer/Ressourcen festgelegt. Die Gruppen können dieselben Gruppen sein, die für das Festlegen anderer Zugriffsregeln verwendet werden, oder die Gruppen können unterschiedlich sein.
  • Mit Bezug auf 4A stellt eine Tabelle 400 veranschaulichende Registrierungsregeln dar, wobei Reihen Gruppen von Benutzern 308, 310 und 312 repräsentieren und Spalten Gruppen von vernetzten Ressourcen 302, 304 und 306 repräsentieren. Ein Systemverwalter legt zum Beispiel unter Verwendung des Registrierungsverwaltungssystems 228 Registrierungsregeln fest. Um dies zu tun, definiert der Systemverwalter eine Vielzahl von Gruppen von Benutzern 308, 310 und 312 und definiert auch Gruppen von vernetzten Ressourcen 302, 304 und 306, wie oben mit Bezug auf 3A und 3B beschrieben. Dann legt der Systemverwalter fest, welche Gruppen von Benutzern welche Gruppen von vernetzten Ressourcen registrieren können. Zum Beispiel hat ein Systemverwalter in der Tabelle 400 festgelegt, dass die IT-Mitarbeitermitglieder 308 die Arbeitsplatzrechner 302, die CAD-Terminals 304 und die Verwaltungsassistententerminals 306 registrieren können, wie durch das „X" an den Kreuzungspunkten der Reihe der IT-Mitarbeiter 308 und den Spalten für jede der Gruppen der vernetzten Ressourcen angedeutet. Gleichermaßen können die Ingenieure 310 die Arbeitsplatzrechner 302 und die CAD-Terminals 304 registrieren, und die Verwaltungsassistenten 312 können lediglich die Verwaltungsassistententerminals 306 registrieren.
  • Es versteht sich, dass diese Regeln in einer Tabellenform wie eben beschrieben, aber auch, oder stattdessen, durch die Verwendung von Befehlen, Datenlisten, Datendateien, XML-Markierungen oder einem beliebigen anderen geeigneten Mechanismus zur Regelfestlegung festgelegt werden können.
  • Unter Verwendung des Registrierungsverwaltungssystems 228 können Systemverwalter Registrierungsregeln, sobald festgelegt, einfach abändern. Zum Beispiel kann der Systemverwalter, um Änderungen bei der Personalbesetzung widerzuspiegeln (z. B. das Entlassen, Einstellen oder Versetzen eines Angestellten), Benutzer zu Benutzergruppen hinzufügen oder daraus entfernen. Dasselbe kann für vernetzte Ressourcengruppen gemacht werden. Grundsatzentscheidungen, die ganze Gruppen betreffen, können durch das Ändern der Gruppen von vernetzten Ressourcen, deren Registrierung einer Gruppe von Benutzern erlaubt ist, implementiert werden. Falls zum Beispiel der Systemverwalter, der die Registrierungsregeln in der Tabelle 400 festgelegt hat, entschieden hat, dass die Verwaltungsassistenten 312 auch in der Lage sein sollten, alle Arbeitsplatzrechner zu registrieren, kann die Regel für die Verwaltungsassistenten 312 dementsprechend abgeändert werden. In dem Fall, dass ein Systemverwalter die Fähigkeit eines Benutzers oder mehrerer Benutzer oder von Gruppen von Benutzern, eine oder mehrere Netzwerkressourcen zu registrieren, entfernt, sind die betroffenen Benutzer nicht mehr in der Lage, diese vernetzten Ressourcen zu registrieren. Bei manchen Ausführungsformen kann, falls die vernetzten Ressourcen von den betroffenen Benutzern schon registriert wurden, die Änderung bei der Registrierungsregel verursachen, dass die vernetzten Ressourcen abgemeldet werden.
  • Mit Bezug auf 5 beginnt ein Ablaufplan eines Verfahrens 500 zum Registrieren einer vernetzten Ressource (z. B. Computer 202, 204, 206, 208, 210, 212, 214, 216 und 218) mit der Festlegung von Registrierungsregeln (Schritt 502) zum Beispiel durch einen Systemverwalter wie oben beschrieben. Wenn ein Benutzer die Registrierung einer vernetzten Ressource erfragt (Schritt 504), verifiziert das Registrierungssystem 230 die Identität des Benutzers (Schritt 506). Die Identitätvserifizierung (Schritt 506) kann durch beliebige Identitätsauthentifikationsmittel, die zum Beispiel Benutzerpasswort- oder PIN-Authentifikation, biometrische Kennung, Stimmenkennung etc. umschließen, erzielt werden.
  • Das Registrierungssystem 230 und das Registrierungsverwaltungssystem 228 bestimmen, ob es dem Benutzer durch die Registrierungsregeln erlaubt ist, die vernetzte Ressource, deren Registrierung der Benutzer erfragt, zu registrieren (Schritt 508). Bei der veranschaulichenden Ausführungsform schickt das Registrierungssystem 230 eine Registrierungsanfrage an das Registrierungsverwaltungssystem 228. Die Registrierungsanfrage umfasst die Kennung der vernetzten Ressource, deren Registrierung der Benutzer erfragt, und die Kennung des Benutzers. Dann vergleicht das Registrierungsverwaltungssystem 228 die Paarung vernetzte Ressource/Benutzer mit den Registrierungsregeln, um zu bestimmen, ob der Benutzer ein Mitglied einer Gruppe ist, welche die Erlaubnis hat, eine beliebige der vernetzten Ressourcen der Gruppe, zu der die besagte vernetzte Ressource gehört, zu registrieren.
  • Kopien der Registrierungsregeln zur einmaligen Verwendung können jedes Mal, wenn ein Benutzer versucht, eine vernetzte Ressource zu registrieren, von dem Registrierungsverwaltungssystem 228 auf die vernetzte Ressource heruntergeladen werden, und bei anderen Implementierungen kann eine vernetzte Ressource eine permanente Reihe von Registrierungsregeln pflegen, die von dem Registrierungsverwaltungssystem 228 aktualisiert wird, wenn ein Systemverwalter die Registrierungsregeln abändert. In diesen beiden Fällen wird die Erlaubnisverifizierung (Schritt 508) auf der vernetzten Ressource durchgeführt.
  • Falls es dem Benutzer basierend auf den Registrierungsregeln erlaubt ist, die vernetzte Ressource zu registrieren, wird der Standort des Benutzers bestimmt (Schritt 510). Bei einer Ausführungsform bestimmt ein Lokalisierersystem den Standort des Benutzers durch das Abfragen der IP-Adresse der vernetzten Ressource, von der die Registrierungsanfrage geschickt wurde, wobei sie typischerweise in dem Header der Pakete, welche die Übertragung ausmachten, umfasst ist, und durch das Ausführen einer umgekehrten DNS-Verweisroutine (Domain-Name-Server-Verweisroutine), um die Quelle der Anfrage zu bestimmen. Dann bestimmt das Registrierungsverwaltungssystem 228, ob der Benutzer die Registrierung der vernetzten Ressource von einer Konsole, die physikalisch an der vernetzten Ressource, deren Registrierung der Benutzer erfragt, angeschlossen ist, erfragt hat (Schritt 512), indem die bestimmte Registrierungsanfragequelle mit der vernetzten Ressource, die in der Registrierungsanfrage identifiziert wird, verglichen wird. Bei einer weiteren Ausführungsform sendet das Lokalisierersystem an ein Java®-Applet oder ActiveX®-Control und verursacht die Ausführung von Java®-Applet oder ActiveX®-Control auf der erfragten Ressource, um zu bestimmen, ob der Benutzer wirklich bei einer Konsole, die physikalisch an der Ressource angeschlossen ist, angemeldet ist. Bei einer weiteren Ausführungsform kann die Quelle der Anfrage durch das Senden an ein Java®-Applet oder ActiveX®-Control und das Ausführen von Java®-Applet oder ActiveX®-Control auf der Quelle der Anfrage verifiziert werden, was die Quelle zwingt, sich zu identifizieren. Dann vergleicht das Registrierungsverwaltungssystem 228 die erzwungene Kennung mit der Netzwerkressource, derer Registrierung der Benutzer erfragt hat. Bei einer Ausführungsform führt das Registrierungsverwaltungssystem eine Kombination aus zwei oder mehr der oben aufgelisteten Verifizierungsverfahren aus, um eine robuste Anfragequelienkennung sicherzustellen.
  • Falls bestimmt wird, dass der Benutzer die Registrierungsanfrage von einer Konsole geschickt hat, die physikalisch an der vernetzten Ressource, deren Registrierung der Benutzer erfragt, angeschlossen ist (Schritt 512), registriert das Registrierungsverwaltungssystem 228 die vernetzte Ressource für den Benutzer (Schritt 514), indem eine Registrierungsdatenbank (siehe 6 unten) aktualisiert wird. Falls es dem Benutzer basierend auf den Registrierungsregeln nicht erlaubt ist, die vernetzte Ressource zu registrieren, oder bestimmt wird, dass der Benutzer versucht, den Computer von einem entfernten Standort zu registrieren, wird die Registrierung verweigert (Schritt 516).
  • Bei einer alternativen Ausführungsform bestimmt das Registrierungsverwaltungssystem 228 den Standort des Benutzers und verifiziert, dass der Benutzer die Registrierung der vernetzten Ressource erfragt, von der die Registrierungsanfrage stammt, bevor bestimmt wird, ob es dem Benutzer gemäß den Registrierungsregeln erlaubt ist, die vernetzte Ressource zu registrieren. Bei einer weiteren Ausführungsform macht es das Registrierungsverwaltungssystem 228 möglicht, dass ein Systemverwalter Registrierungsregeln festlegt, die einer Gruppe von Benutzern ermöglichen, vernetzte Ressourcen entfernt zu registrieren, oder Gruppen von Ressourcen festlegt, die entfernt registriert werden können. Zum Beispiel erlauben bei einer Ausführungsform die Registrierungsregeln einem Benutzer, einen Dateiserver (oder einen Teil eines Dateiservers), der Teil eines sicheren Netzwerks ist, von einer Konsole, die ein Teil dieses sicheren Netzwerks, jedoch nicht physikalisch an den Dateiserver angeschlossen ist, zu registrieren.
  • Mit Bezug auf 6 pflegt das Registrierungsverwaltungssystem 228 die Informationen über registrierte Ressourcen und Benutzer. Diese Speicherung kann auf viele Arten implementiert werden, einschließlich in der Form von Datendateien in einer Datenbank. Wie in der Figur bei der veranschaulichenden Darstellung der Inhalte einer Registrierungsdatenbank 600 gezeigt, speichert die Datenbank 600 die Registrierungsdaten für jeden einzelnen Benutzer und jede vernetzte Ressource. Wenn ein Benutzer eine vernetzte Ressource erfolgreich registriert (Schritt 514), wird die Registrierung in der Registrierungsdatenbank 600 gespeichert. Zum Beispiel hat gemäß der Registrierungsdatenbank 600 Ingenieurin Ellie 320 TermA, CADA und CADB registriert. Die Tabelle wird herangezogen, wenn ein Benutzer versucht, entfernt auf eine vernetzte Ressource zuzugreifen.
  • Mit Bezug auf 7 umfasst ein Verfahren 700 zum Gewähren des Fernzugriffs auf eine vernetzte Ressource das Abfragen der Registrierungsdatenbank, zum Beispiel der Registrierungsdatenbank 600. Wenn ein Benutzer versucht, entfernt auf die erste vernetzte Ressource 100 zuzugreifen, wird die Anfrage auf Zugriff von dem Fernzugriffssystem 232 erhalten (Schritt 702). Das Fernzugriffssystem 232 verifiziert die Kennung des Benutzers (Schritt 703), auch als Authentifikation bezeichnet. Wie oben in Bezug auf das Verifizieren einer Identität eines Benutzers in dem Registrierungskontext beschrieben, kann das Fernzugriffssystem 232 einen Benutzer unter Verwendung beliebiger Identitätsauthentifikationsmittel, einschließlich Paaren aus einem Namenspasswort/einer PIN für jeden Benutzer, Zertifikaten, biometrischen Daten, Einmalschlüsseln, Stimmenproben etc., authentifizieren. Dann bestimmt das Fernzugriffssystem 232, ob der Benutzer die erste vernetzte Ressource 100 zuvor registriert hat (Schritt 706). Falls der Benutzer die erste vernetzte Ressource zuvor registriert hat, gewährt das Fernzugriffssystem 232 den Zugriff auf die erste vernetze Ressource 100 (Schritt 708), andernfalls verweigert das Fernzugriffssystem 232 den Fernzugriff auf die erste vernetzte Ressource 100.
  • Bei alternativen Ausführungsformen könnte ein Systemverwalter zusätzliche Fernzugriffsregeln festsetzen, die beschränken, welche entfernten Vorrichtungen Benutzer verwenden können, um entfernt auf die vernetzten Ressourcen zuzugreifen. Zum Beispiel kann ein Systemverwalter eine Regel festlegen, die Benutzern oder Gruppen von Benutzern lediglich ermöglicht, von einer vernetzten Ressource, die direkt mit dem Datenverarbeitungssystem 200 verbunden ist, entfernt auf die vernetzten Ressourcen oder eine Gruppe von vernetzten Ressourcen zuzugreifen. Unter einer derartigen Regel könnte zum Beispiel Tara 314, die gemäß der Registrierungsdatenbank 600 VerwC 218 registriert hat, von VerwA 214 entfernt auf VerwC 218 zugreifen, aber Ted 318, der ebenso VerwC 218 registriert hat, könnte von einer entfernten Vorrichtung 102 nicht entfernt auf VerwC zugreifen.
  • Der Fachmann wird erkennen, dass die Erfindung durch andere spezifische Formen verkörpert werden kann, ohne von ihrem Sinn oder ihren wesentlichen Charakteristika abzuweichen. Die vorangehenden Ausführungsformen sind daher in jeder Hinsicht veranschaulichend und nicht als die Erfindung einschränkend zu betrachten. Der Bereich der Erfindung beschränkt sich nicht allein auf die vorangehende Beschreibung.

Claims (29)

  1. Ein Verfahren zum Bereitstellen eines Systems, wobei das Verfahren Folgendes beinhaltet: Bereitstellen eines Fernzugriffssystems (232), um einem Benutzer Fernzugriff auf eine erste vernetzte Ressource (202) zu gewähren, falls der Benutzer die erste vernetzte Ressource (202) erfolgreich registriert hat; gekennzeichnet durch das Bereitstellen eines Registrierungsverwaltungssystems (228) zum Festlegen von Registrierungsregeln; Bereitstellen eines Registrierungssystems (230), das konfiguriert ist, um mit dem Registrierungsverwaltungssystem (228) Informationen auszutauschen, um, falls durch die festgelegten Registrierungsregeln erlaubt, das Registrieren der ersten vernetzten Ressource (202) zu erlauben.
  2. Verfahren gemäß Anspruch 1, wobei die vernetzte Ressource (202) ein Computer ist.
  3. Verfahren gemäß entweder Anspruch 1 oder Anspruch 2, wobei das Fernzugriffssystem (232) einem Benutzer, der die erste vernetzte Ressource (202) nicht registriert hat, den Fernzugriff auf die erste vernetzte Ressource (202) verweigert.
  4. Verfahren gemäß einem der vorhergehenden Ansprüche, wobei das Fernzugriffssystem (232) zur Installation auf der ersten vernetzten Ressource (202) bereitgestellt ist.
  5. Verfahren gemäß einem der vorhergehenden Ansprüche, wobei das Fernzugriffssystem (232) zur Installation auf einer gemeinsam genutzten Netzwerkressource bereitgestellt ist, und wobei das Fernzugriffssystem (232) abhängig von den festgelegten Registrierungsregeln und der Registrierung der ersten vernetzten Ressource (202) und der zweiten vernetzten Ressource (204) durch den Benutzer den Fernzugriff auf die erste vernetzte Ressource (202) und eine zweite vernetzte Ressource (204) gewährt.
  6. Verfahren gemäß einem der vorhergehenden Ansprüche, wobei das Registrierungssystem (230) das Registrieren der ersten vernetzten Ressource (202) von einer entfernten Konsole (201) nicht erlaubt.
  7. Verfahren gemäß einem der vorhergehenden Ansprüche, wobei das Registrieren der ersten vernetzten Ressource (202) erfordert, dass der Benutzer die Registrierung von einer Konsole, die physikalisch an der ersten vernetzten Ressource (202) angeschlossen ist, vornimmt.
  8. Verfahren gemäß einem der vorhergehenden Ansprüche, wobei das Registrierungssystem (230) das Registrieren der ersten vernetzten Ressource (202) von einer Konsole, die physikalisch an der ersten vernetzten Ressource (202) angeschlossen ist, erfordert.
  9. Verfahren gemäß einem der vorhergehenden Ansprüche, wobei der Fernzugriff den Fernzugriff auf den Desktop der ersten vernetzten Ressource (202) beinhaltet.
  10. Verfahren gemäß einem der vorhergehenden Ansprüche, wobei das Registrierungssystem (230) eine Netzwerkanwendung ist.
  11. Verfahren gemäß Anspruch 10, das ferner das Bereitstellen eines Lokalisierersystems zum Bestimmen des Standorts eines Benutzers, welcher versucht, die erste vernetzte Ressource (202) zu registrieren, beinhaltet.
  12. Verfahren gemäß Anspruch 11, wobei das Registrieren der ersten vernetzten Ressource (202) ferner von dem bestimmten Standort abhängig ist.
  13. Verfahren gemäß einem der vorhergehenden Ansprüche, das das Festlegen einer Registrierungsregel und das Registrieren einer ersten vernetzten Ressource (202), falls durch die festgelegte Registrierungsregel erlaubt, beinhaltet.
  14. Verfahren gemäß Anspruch 13, wobei das Festlegen der Registrierungsregel ferner Folgendes beinhaltet: Definieren einer Vielzahl von Gruppen von Benutzern; Definieren einer Vielzahl von Gruppen von vernetzten Ressourcen; und Festlegen einer Gruppe von vernetzen Ressourcen, die eine Gruppe von Benutzern registrieren darf.
  15. Verfahren gemäß einem der vorhergehenden Ansprüche, das beinhaltet, dass einem Benutzer der Fernzugriff von einer entfernten Vorrichtung auf die erste vernetzte Ressource (202) gewährt wird, falls der Benutzer zuvor die erste vernetzte Ressource (202) erfolgreich registriert hatte.
  16. Verfahren gemäß Anspruch 15, wobei das Gewähren des Zugriffs auf die erste vernetzte Ressource (202) das Gewähren des Zugriffs auf den Desktop der ersten vernetzten Ressource (202) beinhaltet.
  17. Verfahren gemäß entweder Anspruch 15 oder Anspruch 16, das beinhaltet, dass einem Benutzer der Zugriff von der entfernten Vorrichtung auf die erste vernetzte Ressource (202) verweigert wird, falls der Benutzer nicht zuvor die erste vernetzte Ressource (202) erfolgreich registriert hatte.
  18. Ein Computersystem, das Folgendes beinhaltet: eine entfernte Vorrichtung (201), die konfiguriert ist, um über einen Übertragungskanal (203) Informationen mit einer ersten vernetzten Ressource (202) auszutauschen; ein Fernzugriffssystem (232), um einem Benutzer der entfernten Vorrichtung (201) den Fernzugriff auf die erste vernetzte Ressource (202) zu gewähren, falls die erste vernetzte Ressource (202) erfolgreich registriert wurde; gekennzeichnet durch ein Registrierungsverwaltungssystem (228) zum Festlegen von Registrierungsregeln; die erste vernetze Ressource (202), die konfiguriert ist, um mit dem Registrierungsverwaltungssystem (228) Informationen auszutauschen; und ein Registrierungssystem (230) zum Registrieren der ersten vernetzten Ressource (202), falls durch die festgelegten Registrierungsregeln erlaubt.
  19. Computersystem gemäß Anspruch 18, wobei die erste vernetzte Ressource (202) ein Computer ist.
  20. Computersystem gemäß entweder Anspruch 18 oder Anspruch 19, wobei das Fernzugriffssystem (232) einem Benutzer der entfernten Vorrichtung (201), der die erste vernetzte Ressource (202) nicht registriert hat, den Fernzugriff auf die erste vernetzte Ressource (202) verweigert.
  21. Computersystem gemäß einem der Ansprüche 18 bis 20, wobei das Fernzugriffssystem (232) auf der ersten vernetzen Ressource (202) installiert ist.
  22. Computersystem gemäß einem der Ansprüche 18 bis 21, wobei das Fernzugriffssystem (232) auf einer gemeinsam genutzten Netzwerkressource installiert ist, und wobei das Fernzugriffssystem einem Benutzer der entfernten Vorrichtung (201) abhängig von den Registrierungsregeln und der Registrierung der ersten und der zweiten vernetzten Ressource (202, 204) durch den Benutzer den Zugriff auf die erste vernetzte Ressource (202) und eine zweite vernetzte Ressource (204) gewährt.
  23. Computersystem gemäß einem der Ansprüche 18 bis 22, wobei das Registrierungssystem (230) das Registrieren der ersten vernetzten Ressource (202) von einer entfernten Konsole (201) nicht erlaubt.
  24. Computersystem gemäß einem der Ansprüche 18 bis 23, wobei das Registrierungssystem (230) das Registrieren der ersten vernetzten Ressource (202) von einer Konsole, die physikalisch an der ersten vernetzten Ressource (202) angeschlossen ist, erfordert.
  25. Computersystem gemäß einem der Ansprüche 18 bis 24, wobei der Fernzugriff auf die erste vernetzte Ressource (202) den Fernzugriff auf den Desktop der ersten vernetzten Ressource (202) beinhaltet.
  26. Computersystem gemäß den Ansprüchen 18 bis 25, wobei das Registrierungssystem (230) eine Netzwerkanwendung ist.
  27. Computersystem gemäß Anspruch 26, das ferner ein Lokalisierersystems zum Bestimmen des Standorts eines Benutzers, welcher versucht, die erste vernetzte Ressource (202) zu registrieren, beinhaltet.
  28. Computersystem gemäß Anspruch 27, wobei das Registrieren der ersten vernetzten Ressource (202) ferner von dem bestimmten Standort des Benutzers abhängig ist.
  29. Computersystem gemäß entweder Anspruch 27 oder 28, wobei das Registrierungsverwaltungssystem (230) eine Registrierungsdatenbank beinhaltet, die eine Liste der vernetzten Ressourcen (202), die ein Benutzer registriert hat, speichert.
DE602004012300T 2003-10-10 2004-09-10 Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff Active DE602004012300T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US683544 2002-01-16
US10/683,544 US20050080909A1 (en) 2003-10-10 2003-10-10 Methods and apparatus for scalable secure remote desktop access
PCT/US2004/029682 WO2005041004A1 (en) 2003-10-10 2004-09-10 Methods and apparatus for scalable secure remote desktop access

Publications (2)

Publication Number Publication Date
DE602004012300D1 DE602004012300D1 (de) 2008-04-17
DE602004012300T2 true DE602004012300T2 (de) 2009-03-19

Family

ID=34422757

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004012300T Active DE602004012300T2 (de) 2003-10-10 2004-09-10 Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff

Country Status (12)

Country Link
US (2) US20050080909A1 (de)
EP (1) EP1671204B1 (de)
JP (1) JP2007509389A (de)
KR (1) KR20060134925A (de)
AT (1) ATE388435T1 (de)
AU (1) AU2004284747A1 (de)
CA (1) CA2541916A1 (de)
DE (1) DE602004012300T2 (de)
ES (1) ES2303098T3 (de)
HK (1) HK1093242A1 (de)
IL (1) IL174812A0 (de)
WO (1) WO2005041004A1 (de)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8661185B2 (en) * 2006-07-12 2014-02-25 Sandisk Technologies Inc. Electronic library for managing data on removable storage devices
US20100030346A1 (en) * 2007-02-02 2010-02-04 Mitsuhiro Watanabe Control system and control method for controlling controllable device such as peripheral device, and computer program for control
US8201218B2 (en) 2007-02-28 2012-06-12 Microsoft Corporation Strategies for securely applying connection policies via a gateway
US20080313545A1 (en) * 2007-06-13 2008-12-18 Microsoft Corporation Systems and methods for providing desktop or application remoting to a web browser
EP2031541A1 (de) * 2007-09-03 2009-03-04 LG Electronics Inc. Einrichtungsmanagementsystem und Steuerverfahren für Einrichtungsmanagementsystem
JP4970221B2 (ja) * 2007-11-16 2012-07-04 株式会社東芝 省電力制御装置及び方法
US8161160B2 (en) * 2008-02-28 2012-04-17 Microsoft Corporation XML-based web feed for web access of remote resources
US8683062B2 (en) * 2008-02-28 2014-03-25 Microsoft Corporation Centralized publishing of network resources
US8612862B2 (en) * 2008-06-27 2013-12-17 Microsoft Corporation Integrated client for access to remote resources
WO2010080821A1 (en) * 2009-01-06 2010-07-15 Vetrix, Llc Integrated physical and logical security management via a portable device
US7870496B1 (en) 2009-01-29 2011-01-11 Jahanzeb Ahmed Sherwani System using touchscreen user interface of a mobile device to remotely control a host computer
WO2010102176A1 (en) 2009-03-06 2010-09-10 Vetrix, Llc Systems and methods for mobile tracking, communications and alerting
US20110149811A1 (en) * 2009-12-23 2011-06-23 Ramprakash Narayanaswamy Web-Enabled Conferencing and Meeting Implementations with Flexible User Calling Features
US20130346543A1 (en) * 2012-06-22 2013-12-26 International Business Machines Corporation Cloud service selector
JP6209673B2 (ja) * 2014-03-11 2017-10-04 富士機械製造株式会社 部品実装関連アプリケーションのアカウント権限管理装置及びアカウント権限管理方法
TWI563404B (en) * 2014-07-03 2016-12-21 Able World Internat Ltd Networking cooperation method and machine using such method
US9626157B2 (en) * 2014-07-03 2017-04-18 Able World International Limited Method of projecting a workspace and system using the same
US9134963B1 (en) * 2014-07-03 2015-09-15 U3D Limited Method of unifying information and tool from a plurality of information sources
KR102526739B1 (ko) * 2014-07-03 2023-04-26 에이블 월드 인터내셔널 리미티드 작업 공간 투영 방법 및 상기 작업 공간 투영 방법을 응용한 시스템
US11687325B2 (en) * 2014-07-03 2023-06-27 Able World International Limited Method for constructing an interactive digital catalog, and computer-readable storage medium and interactive digital catalog using the same
US10380551B2 (en) * 2015-12-31 2019-08-13 Dropbox, Inc. Mixed collaboration teams
US10110551B1 (en) * 2017-08-14 2018-10-23 Reza Toghraee Computer-implemented system and methods for providing IPoE network access using software defined networking
CN111371183A (zh) * 2020-04-10 2020-07-03 南京智汇电力技术有限公司 一种适用于配电网保护与自动化设备的远程液晶控制方法
US11783062B2 (en) 2021-02-16 2023-10-10 Microsoft Technology Licensing, Llc Risk-based access to computing environment secrets
US11848824B2 (en) * 2021-07-23 2023-12-19 Vmware, Inc. Distributed auto discovery service

Family Cites Families (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4840284B1 (en) * 1988-01-15 1996-10-01 Nationsbank Of Georgia Sloped bottom tank
US6850252B1 (en) * 1999-10-05 2005-02-01 Steven M. Hoffberg Intelligent electronic appliance system and method
US6206829B1 (en) * 1996-07-12 2001-03-27 First Opinion Corporation Computerized medical diagnostic and treatment advice system including network access
US6022315A (en) * 1993-12-29 2000-02-08 First Opinion Corporation Computerized medical diagnostic and treatment advice system including network access
US5696898A (en) * 1995-06-06 1997-12-09 Lucent Technologies Inc. System and method for database access control
US7058696B1 (en) * 1996-11-22 2006-06-06 Mangosoft Corporation Internet-based shared file service with native PC client access and semantics
US5889942A (en) * 1996-12-18 1999-03-30 Orenshteyn; Alexander S. Secured system for accessing application services from a remote station
DE69721471T2 (de) * 1996-12-26 2004-03-18 Canon K.K. Fernsteuereinrichtung und zugehöriges System
US5996076A (en) * 1997-02-19 1999-11-30 Verifone, Inc. System, method and article of manufacture for secure digital certification of electronic commerce
US6038563A (en) * 1997-10-31 2000-03-14 Sun Microsystems, Inc. System and method for restricting database access to managed object information using a permissions table that specifies access rights corresponding to user access rights to the managed objects
JP3995338B2 (ja) * 1998-05-27 2007-10-24 富士通株式会社 ネットワーク接続制御方法及びシステム
US6308273B1 (en) * 1998-06-12 2001-10-23 Microsoft Corporation Method and system of security location discrimination
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6157953A (en) * 1998-07-28 2000-12-05 Sun Microsystems, Inc. Authentication and access control in a management console program for managing services in a computer network
US6721805B1 (en) * 1998-11-12 2004-04-13 International Business Machines Corporation Providing shared-medium multiple access capability in point-to-point communications
US6477580B1 (en) * 1999-08-31 2002-11-05 Accenture Llp Self-described stream in a communication services patterns environment
US6675193B1 (en) * 1999-10-29 2004-01-06 Invensys Software Systems Method and system for remote control of a local system
US7124101B1 (en) * 1999-11-22 2006-10-17 Accenture Llp Asset tracking in a network-based supply chain environment
US7130807B1 (en) * 1999-11-22 2006-10-31 Accenture Llp Technology sharing during demand and supply planning in a network-based supply chain environment
US6671818B1 (en) * 1999-11-22 2003-12-30 Accenture Llp Problem isolation through translating and filtering events into a standard object format in a network based supply chain
US6606744B1 (en) * 1999-11-22 2003-08-12 Accenture, Llp Providing collaborative installation management in a network-based supply chain environment
US6738901B1 (en) * 1999-12-15 2004-05-18 3M Innovative Properties Company Smart card controlled internet access
US6629081B1 (en) * 1999-12-22 2003-09-30 Accenture Llp Account settlement and financing in an e-commerce environment
US7167844B1 (en) * 1999-12-22 2007-01-23 Accenture Llp Electronic menu document creator in a virtual financial environment
US7069234B1 (en) * 1999-12-22 2006-06-27 Accenture Llp Initiating an agreement in an e-commerce environment
US7089239B1 (en) * 2000-01-21 2006-08-08 International Business Machines Corporation Method and system for preventing mutually exclusive content entities stored in a data repository to be included in the same compilation of content
US6986102B1 (en) * 2000-01-21 2006-01-10 International Business Machines Corporation Method and configurable model for storing hierarchical data in a non-hierarchical data repository
US7076494B1 (en) * 2000-01-21 2006-07-11 International Business Machines Corporation Providing a functional layer for facilitating creation and manipulation of compilations of content
US6839701B1 (en) * 2000-01-21 2005-01-04 International Business Machines Hitmask for querying hierarchically related content entities
US6611840B1 (en) * 2000-01-21 2003-08-26 International Business Machines Corporation Method and system for removing content entity object in a hierarchically structured content object stored in a database
US6449627B1 (en) * 2000-01-21 2002-09-10 International Business Machines Corp. Volume management method and system for a compilation of content
US7043488B1 (en) * 2000-01-21 2006-05-09 International Business Machines Corporation Method and system for storing hierarchical content objects in a data repository
US7007034B1 (en) * 2000-01-21 2006-02-28 International Business Machines Corporation File structure for storing content objects in a data repository
US20020103889A1 (en) * 2000-02-11 2002-08-01 Thomas Markson Virtual storage layer approach for dynamically associating computer storage with processing hosts
US6944596B1 (en) * 2000-02-23 2005-09-13 Accenture Llp Employee analysis based on results of an education business simulation
US6820082B1 (en) * 2000-04-03 2004-11-16 Allegis Corporation Rule based database security system and method
US6981041B2 (en) * 2000-04-13 2005-12-27 Aep Networks, Inc. Apparatus and accompanying methods for providing, through a centralized server site, an integrated virtual office environment, remotely accessible via a network-connected web browser, with remote network monitoring and management capabilities
US6789112B1 (en) * 2000-05-08 2004-09-07 Citrix Systems, Inc. Method and apparatus for administering a server having a subsystem in communication with an event channel
US6785713B1 (en) * 2000-05-08 2004-08-31 Citrix Systems, Inc. Method and apparatus for communicating among a network of servers utilizing a transport mechanism
US6636585B2 (en) * 2000-06-26 2003-10-21 Bearingpoint, Inc. Metrics-related testing of an operational support system (OSS) of an incumbent provider for compliance with a regulatory scheme
US7185192B1 (en) * 2000-07-07 2007-02-27 Emc Corporation Methods and apparatus for controlling access to a resource
US6957199B1 (en) * 2000-08-30 2005-10-18 Douglas Fisher Method, system and service for conducting authenticated business transactions
US6686838B1 (en) * 2000-09-06 2004-02-03 Xanboo Inc. Systems and methods for the automatic registration of devices
JP4977291B2 (ja) * 2000-11-17 2012-07-18 日本電気株式会社 情報提供サーバ及び情報提供検索実行プログラムを記録した記録媒体
US7085834B2 (en) * 2000-12-22 2006-08-01 Oracle International Corporation Determining a user's groups
US6898628B2 (en) * 2001-03-22 2005-05-24 International Business Machines Corporation System and method for providing positional authentication for client-server systems
US7020645B2 (en) * 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
KR20040007699A (ko) * 2001-06-11 2004-01-24 마쯔시다덴기산교 가부시키가이샤 라이센스 관리 서버, 라이센스 관리 시스템 및 이용제한방법
US20030014327A1 (en) * 2001-06-29 2003-01-16 Kristofer Skantze System and method in electronic commerce from hand-held computer units
US7243138B1 (en) * 2002-02-01 2007-07-10 Oracle International Corporation Techniques for dynamic rule-based response to a request for a resource on a network
JP2003271429A (ja) * 2002-03-15 2003-09-26 Hitachi Ltd 記憶装置資源管理方法、記憶資源管理プログラム、該プログラムを記録した記録媒体、及び記憶資源管理装置
US7171615B2 (en) * 2002-03-26 2007-01-30 Aatrix Software, Inc. Method and apparatus for creating and filing forms
US7216163B2 (en) * 2002-05-15 2007-05-08 Oracle International Corporation Method and apparatus for provisioning tasks using a provisioning bridge server
US7363363B2 (en) * 2002-05-17 2008-04-22 Xds, Inc. System and method for provisioning universal stateless digital and computing services
US7143136B1 (en) * 2002-06-06 2006-11-28 Cadence Design Systems, Inc. Secure inter-company collaboration environment
US7206851B2 (en) * 2002-07-11 2007-04-17 Oracle International Corporation Identifying dynamic groups
US7469282B2 (en) * 2003-01-21 2008-12-23 At&T Intellectual Property I, L.P. Method and system for provisioning and maintaining a circuit in a data network
US20040210623A1 (en) * 2003-03-06 2004-10-21 Aamer Hydrie Virtual network topology generation
US7313827B2 (en) * 2003-07-10 2007-12-25 International Business Machines Corporation Apparatus and method for analysis of conversational patterns to position information and autonomic access control list management
US7499834B1 (en) * 2004-09-30 2009-03-03 Emc Corporation System and methods for reporting device allocation

Also Published As

Publication number Publication date
KR20060134925A (ko) 2006-12-28
EP1671204A1 (de) 2006-06-21
DE602004012300D1 (de) 2008-04-17
AU2004284747A1 (en) 2005-05-06
US20050080909A1 (en) 2005-04-14
CA2541916A1 (en) 2005-05-06
ES2303098T3 (es) 2008-08-01
US20120060204A1 (en) 2012-03-08
ATE388435T1 (de) 2008-03-15
EP1671204B1 (de) 2008-03-05
WO2005041004A1 (en) 2005-05-06
US8719433B2 (en) 2014-05-06
IL174812A0 (en) 2006-08-20
JP2007509389A (ja) 2007-04-12
HK1093242A1 (en) 2007-02-23

Similar Documents

Publication Publication Date Title
DE602004012300T2 (de) Verfahren und vorrichtungen für skalierbaren sicheren fern-desktop-zugriff
DE602004012870T2 (de) Verfahren und system zur benutzerauthentifizierung in einer benutzer-anbieterumgebung
DE60308692T2 (de) Verfahren und system für benutzerbestimmte authentifizierung und einmalige anmeldung in einer föderalisierten umgebung
DE602004005461T2 (de) Mobile Authentifizierung für den Netzwerkzugang
DE60127834T2 (de) Sicherheitsarchitektur zur integration eines betriebsinformationssystems mit einer j2ee plattform
EP1764978B1 (de) Attestierte Identitäten
US10505930B2 (en) System and method for data and request filtering
DE69915441T2 (de) System und Verfahren für automatischen authentifizierten Zugang zu einer Mehrzahl von Netzbetreibern durch eine einzige Anmeldung
DE69921455T2 (de) System und verfahren zur zugriffssteuerung auf gespeicherte dokumente
DE60309553T2 (de) Verfahren und Vorrichtungen zur Gesamtbenutzung eines Netzwerkbetriebsmittels mit einem Benutzer ohne Zugang
DE602005003314T2 (de) Spezialisierung der Unterstützung für eine Verbandsbeziehung
DE102007033615B4 (de) Verfahren und Vorrichtung zum Umwandeln von Authentisierungs-Token zur Ermöglichung von Interaktionen zwischen Anwendungen
DE69911101T2 (de) Zugriff auf Software
DE112016004896T5 (de) Bereitstellung von Remote-Befehlsausführung mit fein abgestimmtem Zugriff für Instanzen von virtuellen Maschinen in einer verteilten Datenverarbeitungsumgebung
DE112020000538T5 (de) Feinkörnige zugriffskontrolle auf token-grundlage
DE112004002462T5 (de) Mit dem Internetprotokoll kompatibles Zugangsauthentifizierungs-System
DE112011102224B4 (de) Identitätsvermittlung zwischen Client- und Server-Anwendungen
DE112018005203T5 (de) Authentifizierung unter Verwendung von delegierten Identitäten
EP1628184A1 (de) Verfahren und Computersystem zur Durchführung eines netzwerkgestützten Geschäftsprozesses
CN106411857A (zh) 一种基于虚拟隔离机制的私有云gis服务访问控制方法
WO2009106214A2 (de) Client/server-system zur kommunikation gemäss dem standardprotokoll opc ua und mit single sign-on mechanismen zur authentifizierung sowie verfahren zur durchführung von single sign-on in einem solchen system
DE102014206325A1 (de) Verteiltes Authentifizierungssystem
DE19954358A1 (de) Benutzerrollenzugriffssteuerung
WO2013017394A1 (de) Zugangsregelung für daten oder applikationen eines netzwerks
DE102019112485A1 (de) Verfahren zum selektiven Ausführen eines Containers

Legal Events

Date Code Title Description
8364 No opposition during term of opposition